El fallo de Entel que dejó vulnerables a sus clientes

entellogo

Desde hace algunos meses la empresa de telecomunicaciones Entel presenta un fallo de seguridad que afecta al portal web “Mi Entel”, utilizado por sus clientes para acceder a información de su cuenta, revisión del estado del plan de datos, llamadas realizadas, contratación de nuevos servicios, etc. Para ingresar a la sección de “cliente” es necesario ingresar el número de celular, RUT y la clave de cuatro dígitos, sin embargo, explotando esta vulnerabilidad es posible iniciar sesión solo con el número de celular.

Segun los antecedentes recopilados via twitter, este fallo ya está siendo explotado por atacantes robando puntos zona entel a las víctimas. En esta imagen compartida vía twitter se puede ver un usuario con mas de $300.000.- en saldo y con bolsas de navegación de 7GB

entelpoc

La alerta respecto a este fallo de seguridad la dio @r4c3, luego de verificar la vulnerabilidad y haber realizado las pruebas correspondientes, el detalle es el siguiente.

La URL vulnerable, mediante la cual podíamos iniciar sesión estaba bajo el subdominio mipcs.entelpcs.com

entelurl

Al reemplazar las XXXXXXXX, el sistema nos redireccionaba a

entelurl2

Y nos daba la bienvenida como si nos hubiesemos autenticado con el RUT y con la clave del número XXXXXXXX.

1

Y podemos acceder al menú completo

2

Acceder a sus datos personales e incluso poder modificarlos

datos

Conocer el PIN y el PUK

2

Acceder a información de la cuenta mensual y detalles de sus llamadas y SMS

cuentacuentasdetallellamadas

Y finalmente, lo que a muchos les llamó la atención, el acceso a la sección de “puntos zona entel” permitiendo canjear puntos a nombre de otra persona para obtener saldos de navegación, bolsas de llamadas o mensajes, etc.

puntosentel

Muchos clientes de Entel se quejaron de que en algunas ocasiones sus puntos habían desaparecido o habían sido canjeados sin su autorización, incluso algunos contaban que al llamar al CallCenter recibian respuestas de que la plataforma no tenía ningun problema.

El problema fue reportado y al parecer ya se encuentran solucionando el incidente, ya que la plataforma lleva varias horas “en mantención”

mantencionHasta ahora no existe información oficial por parte de Entel respecto a los usuarios afectados. Según el cache de Google, esta vulnerabilidad existe al menos desde hace 4 meses.

7 comentarios

  1. Wena info Zerial

  2. Increible,pero no me sorprende mucho, lamentable por los clientes, supongo que debera haber algun tipo de compensacion a los usuarios o algo por el estilo, no sabes algo de eso?. Excelente tu blog!, Saludos

  3. Seba: Hasta el momento Entel no se ha pronunciado y los clientes que han reclamado no han obtenido respuesta satisfactoria por su parte

  4. así con la computation… a cuidar los hoyos

    no falta el wn que quiere que aprovecharse y exige compensación por nada

  5. Asi pues, cuide bien su hoyo 🙂

  6. bueno, yo antes podía hacer algunos truquillos con los puntos y canjearlos por recargas (c0n mi propia cuenta, claro está)… en fin…

  7. Cuando uno ingresa un reclamo a ENTEL , introducen un error en la dirección con la respuesta, se “tragan” la primera letra de la dirección y también la después del punto y califican el reclamo como SOLUCIONADO, mientel

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esto sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.